電信增值業(yè)務(wù)安全保護(hù)方案研究

薛姍， 劉利軍， 董航， 趙蓓

(1 中國移動(dòng)通信集團(tuán)設(shè)計(jì)院有限公司，北京 100080；2 中國移動(dòng)通信集團(tuán)信息安全管理與運(yùn)行中心，北京 100053)

電信增值業(yè)務(wù)安全保護(hù)方案研究

薛姍1， 劉利軍2， 董航2， 趙蓓1

(1 中國移動(dòng)通信集團(tuán)設(shè)計(jì)院有限公司，北京 100080；2 中國移動(dòng)通信集團(tuán)信息安全管理與運(yùn)行中心，北京 100053)

本文分析了典型的增值業(yè)務(wù)場景以及其容易受到安全威脅外，還提供了針對威脅和攻擊的保護(hù)技術(shù)措施。有助于運(yùn)營商確保增值業(yè)務(wù)的安全性，保護(hù)用戶的利益。

增值服務(wù)；安全威脅；安全保護(hù)方案

1 引言

隨著網(wǎng)絡(luò)和終端能力的快速發(fā)展，電信運(yùn)營商正在向用戶提供越來越多的各種增值服務(wù)。典型的增值服務(wù)包括移動(dòng)辦公自動(dòng)化、電子閱讀、電子商務(wù)等。在許多情況下，由于增值服務(wù)涉及敏感操作或關(guān)鍵數(shù)據(jù)，容易成為惡意攻擊者的目標(biāo)。惡意用戶可以通過服務(wù)漏洞謀取利益或者對其他用戶造成危害。

2 典型的增值服務(wù)場景

電信增值業(yè)務(wù)主要是指與基本電信/數(shù)據(jù)服務(wù)（如語音呼叫、短消息服務(wù)（SMS）、多媒體消息服務(wù)（MMS）和數(shù)據(jù)訪問）一起提供的信息服務(wù)。增值服務(wù)依賴于基礎(chǔ)電信/數(shù)據(jù)服務(wù)，電信運(yùn)營商通常將此類服務(wù)的服務(wù)器托管在運(yùn)營商網(wǎng)絡(luò)中。

電信增值服務(wù)場景通常包括了驗(yàn)證用戶身份，服務(wù)訂閱（服務(wù)訂閱和服務(wù)取消訂閱），用戶支付費(fèi)用，用戶信息展示以及與其他系統(tǒng)進(jìn)行交互等。

增值服務(wù)首先需要驗(yàn)證用戶身份，根據(jù)驗(yàn)證結(jié)果，做出適當(dāng)反應(yīng)。如果認(rèn)證失敗，返回拒絕信息；如果認(rèn)證成功，則返回用戶認(rèn)證憑證。

增值服務(wù)一般根據(jù)用戶的不同需求提供不同種類的服務(wù)。用戶可以通過訂閱服務(wù)來更改服務(wù)種類，包括服務(wù)訂閱和服務(wù)取消訂閱。

用戶通常還需要為服務(wù)支付費(fèi)用。付款方式主要有兩種類型：預(yù)付款和后付款。預(yù)付款是指用戶在使用之前支付費(fèi)用，通常通過第三方的在線電子支付（如信用卡）付款。相對于預(yù)付費(fèi)，而對于某些服務(wù)用戶無需立即付款則屬于后付費(fèi)的場景，其服務(wù)費(fèi)用通常包含在用戶的話費(fèi)賬單中并定期進(jìn)行結(jié)算。

用戶信息也是電信增值服務(wù)的重要組成部分，包括由系統(tǒng)服務(wù)器記錄的個(gè)人信息，以及服務(wù)操作和訂購信息，將用戶信息顯示在系統(tǒng)界面上供用戶查詢也是增值業(yè)務(wù)的主要功能之一。

此外增值服務(wù)系統(tǒng)通過外部接口與其他系統(tǒng)進(jìn)行交互進(jìn)而為用戶提供廣泛的服務(wù)。所以增值服務(wù)系統(tǒng)與其他系統(tǒng)交互的過程也是本文重點(diǎn)關(guān)注的場景之一。

3 增值服務(wù)面臨的安全威脅

本節(jié)對上文分析的典型的增值業(yè)務(wù)服務(wù)場景（用戶身份，服務(wù)訂閱（服務(wù)訂閱和服務(wù)取消訂閱），用戶支付費(fèi)用，用戶信息展示以及與其他系統(tǒng)進(jìn)行交互等具體場景中的安全風(fēng)險(xiǎn)進(jìn)行詳細(xì)分析。

3.1 用戶身份認(rèn)證

3.1.1 身份冒用

身份冒用通常是指攻擊者通過各種技術(shù)手段將自己偽裝成合法用戶登錄增值服務(wù)系統(tǒng)。

首先，攻擊者在無法利用其它漏洞的情況下會利用計(jì)算機(jī)的運(yùn)算能力使用窮舉的方式來嘗試登錄系統(tǒng)。常見的窮舉包含密碼窮舉和賬號窮舉兩種：對于支持靜態(tài)密碼的增值服務(wù)系統(tǒng)，攻擊者可以通過使用各種字符組合猜測某個(gè)賬戶的密碼來嘗試登錄系統(tǒng)這種方式通常稱為密碼窮舉。賬號窮舉一般是指電信運(yùn)營商提供的增值服務(wù)通常使用用戶的電話號碼作為登錄ID。這意味著用戶的登錄賬號可以被猜到的。攻擊者可以使用少量常用的弱密碼（如“123456”），窮舉用戶賬戶名稱（即電話號碼），來嘗試登錄服務(wù)系統(tǒng)。通過這種方式，攻擊者可以快速獲取大量用戶賬戶和密碼，從而登錄服務(wù)系統(tǒng)。

另外，增值服務(wù)系統(tǒng)的用戶認(rèn)證功能通常將用戶提交的登錄信息與存儲在系統(tǒng)數(shù)據(jù)庫中的信息進(jìn)行比較。如果一致，則認(rèn)為用戶認(rèn)證成功。在某些情況下，如果身份驗(yàn)證模塊中存在實(shí)現(xiàn)缺陷，攻擊者可以構(gòu)建特殊的登錄信息，欺騙身份驗(yàn)證功能生成認(rèn)證成功信息。

除此之外，用戶提交登錄信息后驗(yàn)證模塊已通過身份驗(yàn)證，結(jié)果需要返回給客戶端。服務(wù)客戶端根據(jù)認(rèn)證結(jié)果接受或拒絕用戶請求。在某些情況下，攻擊者可以攔截和修改身份驗(yàn)證結(jié)果，并將已被篡改的身份驗(yàn)證結(jié)果返回給客戶端。攻擊者可以通過這種方式繞過身份認(rèn)證。

通常情況下為了維護(hù)用戶的狀態(tài)，客戶端必須向服務(wù)器端發(fā)送唯一的標(biāo)識（會話ID）。 對于服務(wù)器端，唯一的ID用于驗(yàn)證用戶。攻擊者可以暴力破解、猜測分析、嗅探等方式獲得會話ID信息，來實(shí)現(xiàn)冒充該用戶訪問系統(tǒng)目的。

3.1.2 密碼重置

在密碼重置過程中，用戶需要提供必要的憑據(jù)證明其對賬戶的所有權(quán)。如果用戶設(shè)置的找回憑據(jù)過于簡單（如秘密問題的答案設(shè)置過于簡單很容易猜到或者過于位數(shù)過少的短信驗(yàn)證碼）攻擊者可以通過猜測或者暴力破解獲得憑據(jù)進(jìn)而偽裝成用戶來重置用戶的密碼。

部分增值服務(wù)系統(tǒng)可能用郵箱的方式來實(shí)現(xiàn)密碼重置功能，如果通過預(yù)留的郵箱地址來重置密碼，用戶會收到包含統(tǒng)一的URL鏈接的郵件，點(diǎn)擊鏈接即可重置密碼。重置鏈接中通常有一個(gè)參數(shù)指定用戶ID。如果該參數(shù)未加密，攻擊者可以偽造密碼重置鏈接進(jìn)而重置任何用戶的密碼。

通常情況下為了正確認(rèn)證用戶，驗(yàn)證操作應(yīng)在服務(wù)器端執(zhí)行。如果認(rèn)證在客戶端進(jìn)行，則攻擊者可以通過在客戶端偽造驗(yàn)證結(jié)果并將其發(fā)送到服務(wù)器端來重置任何其他用戶的密碼。

3.2 服務(wù)訂購

電信增值業(yè)務(wù)服務(wù)訂購功能常常存在被篡改的風(fēng)險(xiǎn)，例如用戶訂閱某項(xiàng)服務(wù)時(shí)，需將訂閱信息（包括服務(wù)類型和用戶信息）發(fā)送到服務(wù)器端。如果在此保護(hù)不當(dāng)被攻擊者截獲修改則會對增值業(yè)務(wù)造成很大安全威脅。服務(wù)訂購篡改通常保護(hù)以下兩方面。

服務(wù)價(jià)格或運(yùn)費(fèi)：以較低的金額支付服務(wù)費(fèi)用。

服務(wù)類型：攻擊者可以首先選擇較低價(jià)格的服務(wù)，然后以較高的價(jià)格將提交的服務(wù)類型修改為其他服務(wù)。那么攻擊者可以以更低的價(jià)格獲得更高價(jià)值的服務(wù)。

3.3 用戶信息

電信增值業(yè)務(wù)服務(wù)系統(tǒng)通常保存著大量的用戶信息如果保護(hù)不當(dāng)就會存在被泄露的風(fēng)險(xiǎn)。例如攻擊者可以在服務(wù)系統(tǒng)服務(wù)器和終端之間傳輸過程中攔截用戶信息。如果信息未加密或加密可以被輕松破解，則用戶信息即可被獲取。

通常情況下，用戶信息是不在客戶端存儲的。當(dāng)用戶查詢信息時(shí)，由客戶端向系統(tǒng)服務(wù)器發(fā)送查詢請求消息。請求消息中通常有一個(gè)指定用戶標(biāo)識的參數(shù)。如果發(fā)送到服務(wù)器的用戶ID可以被獲取到，攻擊者可以偽造用戶的請求消息并嘗試獲取用戶的信息。另外SQL注入也可以用于未經(jīng)授權(quán)獲取用戶信息。

3.4 外部應(yīng)用接口

攻擊者還可以通過API將外部系統(tǒng)發(fā)送到系統(tǒng)服務(wù)器的正常消息分組捕獲，然后將其重放到系統(tǒng)服務(wù)器。如果消息是由外部系統(tǒng)發(fā)送的數(shù)據(jù)，服務(wù)器認(rèn)為其實(shí)正常的用戶數(shù)據(jù)，攻擊者可以冒充用戶完成認(rèn)證并通過API與其他外部系統(tǒng)進(jìn)行交互，或者構(gòu)建的特殊輸入數(shù)據(jù)（例如超長參數(shù)、特殊SQL語句、特殊腳本）來達(dá)到系統(tǒng)崩潰，數(shù)據(jù)泄漏或特權(quán)升級的目的；如果該數(shù)據(jù)表是用于服務(wù)器向用戶發(fā)送消息（例如SMS或電子郵件），則可能引起SMS炸彈或垃圾郵件等安全威脅。

4 增值服務(wù)安全防護(hù)

通過前文分析可以看出為了保護(hù)用戶權(quán)益和運(yùn)營商自身的利益，電信運(yùn)營商需要其增值服務(wù)提供足夠的安全保護(hù)。在此基礎(chǔ)之上本文提出了一個(gè)增值服務(wù)的安全保護(hù)框架，主要考慮了以下5個(gè)不同的安全領(lǐng)域。

（1）網(wǎng)絡(luò)拓?fù)浒踩涸鲋捣?wù)的服務(wù)器應(yīng)部署在網(wǎng)絡(luò)安全域中，并采取適當(dāng)?shù)陌踩胧?/p>

（2）設(shè)備或操作系統(tǒng)安全：網(wǎng)絡(luò)設(shè)備應(yīng)具有安全配置和保護(hù)（也包括服務(wù)器的操作系統(tǒng)）。

（3）平臺或軟件安全：軟件平臺和第三方組件的漏洞通常會出現(xiàn)增值業(yè)務(wù)開發(fā)過程中，直接影響到業(yè)務(wù)安全。

（4）業(yè)務(wù)流程安全性：業(yè)務(wù)功能是在一系列操作流程的基礎(chǔ)之上實(shí)現(xiàn)的，所以針對業(yè)務(wù)流程設(shè)計(jì)相應(yīng)的安全機(jī)制來確保業(yè)務(wù)安全。

（5）終端安全：用戶需要使用不同終端（如個(gè)人電腦，平板電腦和手機(jī)）訪問業(yè)務(wù)，其安全防護(hù)對服務(wù)安全性至關(guān)重要。

在增值業(yè)務(wù)的安全保護(hù)框架之下本文提出了對應(yīng)的一整套增值業(yè)務(wù)安全保護(hù)方案，分為基礎(chǔ)安全保護(hù)方案和增值業(yè)務(wù)典型場景下的保護(hù)方案兩部分。

4.1 基礎(chǔ)安全保護(hù)方案

基礎(chǔ)安全保護(hù)方案是為確保增值服務(wù)安全的一套通用安全保護(hù)方案，可用于不同服務(wù)場景。

4.1.1 二次確認(rèn)措施

服務(wù)過程中的關(guān)鍵操作應(yīng)由用戶再次確認(rèn)，以防止未經(jīng)授權(quán)的操作。對于第二次確認(rèn)，需要不同的認(rèn)證方法。例如，如果用戶通過用戶名和密碼進(jìn)行身份驗(yàn)證，則當(dāng)訂購時(shí)可以使用短信驗(yàn)證碼、電子郵件驗(yàn)證碼和超鏈接、通過回?fù)艿恼Z音驗(yàn)證碼、安全問題等方式進(jìn)行第二次確認(rèn)。用戶二次確認(rèn)過程應(yīng)在系統(tǒng)日志中詳細(xì)記錄，用于日后審計(jì)。

4.1.2 系統(tǒng)分析措施

應(yīng)對以下用戶的異常行為進(jìn)行分析，例如使用相同賬戶或使用來自IP地址的不同賬戶的大量失敗登錄；在短時(shí)間內(nèi)頻繁變更業(yè)務(wù)，例如每天多次更換服務(wù)；業(yè)務(wù)活動(dòng)突然增加，例如某項(xiàng)服務(wù)的訂單數(shù)量突然增加；來自相同IP地址或區(qū)域的大量業(yè)務(wù)操作等等，這些異常行為通常包含著尚未被發(fā)現(xiàn)的攻擊行為。

4.1.3 會話安全措施

為了保護(hù)用戶會話安全，系統(tǒng)服務(wù)器應(yīng)支持以下會話ID和會話cookie的安全機(jī)制：會話ID應(yīng)唯一標(biāo)識用戶，并將會話與所有其他業(yè)務(wù)會話區(qū)分開；對于每個(gè)新會話，會話ID將是不可預(yù)測的和重新生成的；會話ID不得以明文形式包含用戶信息和認(rèn)證信息，并且在過期后自動(dòng)終止。

4.1.4 交互過程保護(hù)措施

從外部輸入的所有數(shù)據(jù)都可能是攻擊者偽造的。因此，在系統(tǒng)服務(wù)器使用之前，必須對輸入數(shù)據(jù)進(jìn)行驗(yàn)證、過濾和編碼。由于用戶直接操作客戶端，所以客戶端具有很大的安全隱患，其功能應(yīng)受到限制。特別是用戶信息認(rèn)證和基于API的交互操作不應(yīng)該在客戶端執(zhí)行。

為了防止重放攻擊，客戶端和服務(wù)器端之間的消息傳輸應(yīng)采用添加時(shí)間戳或者序列號的方式來保證其安全。

4.2 典型情況下的保護(hù)措施

典型情況下的安全保護(hù)方案是為確保增值服務(wù)安全的特點(diǎn)制定的具有針對性的安全保護(hù)方案，可用于特定的服務(wù)場景。

4.2.1 用戶身份認(rèn)證保護(hù)措施

針對該類增值業(yè)務(wù)的典型場景，其保護(hù)措施主要集中在驗(yàn)證用戶的有效性：提醒用戶更改設(shè)置多于簡單的密碼；在客戶端和服務(wù)器端之間交換認(rèn)證信息的傳輸過程中使用加密的網(wǎng)絡(luò)協(xié)議或?qū)φJ(rèn)證消息進(jìn)行加密；對用戶輸入的信息和URL應(yīng)進(jìn)行檢查，以防惡意輸入；密碼中的每個(gè)字符應(yīng)在終端上顯示前應(yīng)進(jìn)行模糊化處理；用戶認(rèn)證后，服務(wù)器應(yīng)為符合安全會話要求的用戶生成新的會話ID；實(shí)施交互過程保護(hù)措施，避免重放攻擊。

4.2.2 訂閱和支付服務(wù)保護(hù)措施

針對該類增值業(yè)務(wù)的典型場景，其保護(hù)措施著重于確保服務(wù)操作是根據(jù)用戶自己的需求產(chǎn)生的。這些措施也旨在阻止特定用戶的惡意服務(wù)操作。保護(hù)措施包括：完成服務(wù)訂單需要輸入“驗(yàn)證碼”。最好在確認(rèn)服務(wù)操作時(shí)強(qiáng)制用戶進(jìn)行二次確認(rèn)。在傳輸過程中通過使用加密保護(hù)的網(wǎng)絡(luò)協(xié)議或加密算法來傳輸用戶訂閱信息。

在支付環(huán)節(jié)還需要注意的是如果用戶通過Wi-Fi或者Web網(wǎng)絡(luò)下單，則需要對服務(wù)訂單進(jìn)行兩步驗(yàn)證，且需要使用不同的認(rèn)證方法（例如短信或電話）進(jìn)行確認(rèn)；需要技術(shù)手段及時(shí)監(jiān)測服務(wù)費(fèi)用異常情況。對于傳輸?shù)年P(guān)鍵數(shù)據(jù)（例如用戶密碼、支付金額、業(yè)務(wù)類型等），使用加密保護(hù)的網(wǎng)絡(luò)協(xié)議，或者業(yè)界接受的算法來保證其傳輸過程安全。當(dāng)服務(wù)類型更改時(shí)，應(yīng)向發(fā)送用戶提示消息。需要根據(jù)用戶訂購的內(nèi)容和數(shù)量而不能根據(jù)用戶輸入的數(shù)據(jù)來確認(rèn)用戶的需要支付費(fèi)用。在支付完成后服務(wù)器端應(yīng)與銀行系統(tǒng)確認(rèn)用戶的付款操作。

還應(yīng)注意限制同一電話號碼的日常業(yè)務(wù)訂單的數(shù)量，防止惡意訂購的行為發(fā)生。

4.2.3 用戶信息保護(hù)措施

針對該類增值業(yè)務(wù)的典型場景，其保護(hù)措施側(cè)重于用戶個(gè)人信息的存儲、傳輸和展示等環(huán)節(jié)。保護(hù)措施包括：通過使用加密保護(hù)的網(wǎng)絡(luò)協(xié)議或加密算法來傳輸用戶的個(gè)人信息；在終端上顯示用戶信息時(shí)，用特殊字符替換敏感的文本信息；審核客戶信息的查詢和修改操作等。

存儲用戶信息的過程中，還應(yīng)注意對用戶信息進(jìn)行加密，除此之外增值服務(wù)系統(tǒng)應(yīng)有詳細(xì)記錄以便定期審核任何查看，提取或修改用戶信息的操作。

4.2.4 外部應(yīng)用接口保護(hù)措施

針對該類增值業(yè)務(wù)的典型場景，其保護(hù)措施集中在通過API輸入的信息。使用黑白名單可來協(xié)助判斷，檢查輸入到API的數(shù)據(jù)源，丟棄對API的異常參數(shù)輸入并發(fā)送統(tǒng)一提示消息，確保不泄露內(nèi)部敏感信息。

Research on secure protection program for value-added services in telecom

XUE Shan1, LIU Li-jun2, DONG Hang2, ZHAO Bei1
(1 China Mobile Group Design Institute Co., Ltd., Beijing 100080, China; 2 China Mobile Information Security Center,Beijing 100053, China)

In addition to analyzing typical service scenarios, security threats and attack methods, this paper provides technical measures to counter threats and attacks. This will help the operators to assure the security of the value-added service, and will also protect the users’ benefits.

value-add service; security threat; security protection program

TN918

A

1008-5599（2017）11-0012-04

2017-10-12